Делегирование административных полномочий в
Active Directory Domain Services.
Любое предприятие всегда стремится снизить затраты на сопровождение IT инфраструктуры. Одним из приемов снижения затрат является передача части административных полномочий обычным пользователям. В этой статье описано делегирование административных полномочий.
Доменные службы Active Directory (AD DS), как правило, развертываются в качестве служб каталогов, совместно используемых подразделениями в организации. Применение общей службы каталогов позволяет снизить уровень затрат на поддержку инфраструктуры, однако при этом нужно принять во внимание другие аспекты:
- независимое управление пользователями и ресурсами в подразделениях, где требуется децентрализованное администрирование.
- необходимо гарантировать, что администраторы или пользователи будут выполнять в подразделении лишь дозволенные задачи.
- специфические объекты или данные, хранящиеся в каталоге, должны быть доступны только администраторам с соответствующими правами доступа.
Чтобы выполнить эти требования, нужно понимать принцип делегирования административных задач. В процессе делегирования высокоуровневый администратор предоставляет разрешения доступа другим пользователям для выполнения специфических административных задач в структуре Active Directory, которая обеспечивает иерархическое представление службы каталогов: вначале на уровне узла и домена, а затем на уровне организационной единицы или подразделения (OU) в домене. Эта иерархия предусматривает широкие возможности управления правами доступа и делегирования административных задач на различных уровнях логической инфраструктуры.
Административные задачи Active Directory обычно делятся на две категории: управление данными и управление службами. Задачи управления данными связаны с управлением содержимым базы данных Active Directory. Задачи управления службами используются для управления всеми аспектами с целью обеспечения надежной и эффективной работы службы каталогов на предприятии. В табл. 1 описаны некоторые задачи каждой категории.
Таблица 1. Администрирование Active Directory
Категория |
Задачи |
Управление данными |
|
Управление службами |
|
Для делегирования задач управления данными и службами в организации нужно знать административные требования для всех подразделений компании, чтобы разработать наиболее эффективную модель делегирования и обеспечить безопасную сетевую среду. Для развертывания модели делегирования нужно знать разрешения доступа к объектам Active Directory, методы делегирования и принципы аудита. Эти концепции описаны ниже.
Для эффективного делегирования административных задач вы должны знать, каким образом Active Directory контролирует доступ к объектам, которые хранятся в службе каталогов. Речь идет о следующих элементах управления доступом:
- учетные данные принципала безопасности, пытающегося выполнить задачу или получить доступ к ресурсу;
- данные авторизации, используемые для защиты ресурса или авторизации выполняемой задачи;
- проверка доступа, сравнивающая учетные данные с данными авторизации, чтобы определить, разрешено ли принципалу безопасности получать доступ к ресурсу или выполнять задачу.
Когда пользователь входит в домен AD DS, выполняется проверка подлинности и пользователь получает маркер доступа, содержащий идентификатор безопасности (SID) учетной записи пользователя, SID-идентификаторы каждой группы безопасности, членом которых является пользователь, а также список привилегий пользователя и этих групп безопасности. Маркер доступа позволяет обеспечить контекст безопасности и учетные данные для управления сетевыми ресурсами, выполнения административных задач и получения доступа к объектам в Active Directory.
Безопасность применяется к сетевому ресурсу или объекту Active Directory с помощью данных авторизации, хранящихся в дескрипторе безопасности (Security Descriptor) каждого объекта. Дескриптор безопасности состоит из следующих компонентов.
Владелец объекта. Идентификатор SID текущего владельца объекта. Как правило, владельцем является создатель объекта или принципал безопасности, которому передано владение объектом.
Основная группа. Идентификатор SID текущей основной группы владельца. Эта информация используется только подсистемой Portable Operating System Interface for UNIX (POSIX).
Дискреционный список контроля доступа (DACL). Список записей управления доступом АСЕ (Access Control Entry), определяющих разрешения доступа каждого принципала безопасности к объекту. Каждый принципал безопасности, добавляемый в объект, получает список разрешений, указывающих экстент, где пользователь или группа может манипулировать с объектом. Если пользователь не представлен в АСЕ лично или в качестве члена группы, он не получает доступ к объекту.
Системный список контроля доступа (SASL). Определяет параметры аудита для объекта, включая принципалы безопасности и операции, аудит которых должен выполняться.